NightTw_ix 10 Geschrieben 16. September 2005 Melden Teilen Geschrieben 16. September 2005 Hallo, mir ist folgendes bei uns im Netzwerk aufgefallen: Alle NT/2000/XP Clients schicken beim booten DHCP requests ins Netz. Jetzt haben wir allerdings auf allen Rechnern die IPs statisch vergeben. Also DHCP ist definitiv nirgends aktiviert. Ansonsten sind auf den Clients die Protokolle Netware NetBios und Netware IPX/SPX installiert... Ist das irgendwie ein bekanntes Problem? Warum mach Windows sowas? just for fun?? :) Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 16. September 2005 Melden Teilen Geschrieben 16. September 2005 Ich glaube das liegt an deinen Netzwerkkarten. Sie beherschen wohl PXE. Das heißt es ist möglich, das sie während des Bootens z.B. auf RIS zugreifen. Dafür brauchen sie eine IP-Adresse und die bekommen sie via DHCP. FG FLOST Zitieren Link zu diesem Kommentar
NightTw_ix 10 Geschrieben 16. September 2005 Autor Melden Teilen Geschrieben 16. September 2005 Ich glaube das liegt an deinen Netzwerkkarten. Sie beherschen wohl PXE. Das heißt es ist möglich, das sie während des Bootens z.B. auf RIS zugreifen. Dafür brauchen sie eine IP-Adresse und die bekommen sie via DHCP. FG FLOST Gute Idee Aber eigentlich deaktivieren wir PXE. Zumindest bei den Intel Pro Karten, weil die wirklich bei jedem Start nach einer Netzwerkbootmöglichkeit suchen. Ob die anderen Karten PXE können - denke ich nicht (sind billig Realtek-Teile) Ich schau mir so eine Kiste nochmal genau an und beobachte zu welchem Zeitpunkt die DHCP anfragen gestellt werden Zitieren Link zu diesem Kommentar
NightTw_ix 10 Geschrieben 16. September 2005 Autor Melden Teilen Geschrieben 16. September 2005 ok, es sieht nicht nach einer PXE-Sache aus. Die Pakete erscheinen in dem Moment wenn das Loginfenster vom Novell-Client erscheint. Es sind immer 3 identische Pakete hintereinander: 12:04:07.944886 IP (tos 0x0, ttl 128, id 20, offset 0, flags [none], length: 576) 192.168.1.9.68 > 255.255.255.255.67: BOOTP/DHCP, Request [|bootp] 0x0000: ffff ffff ffff 0010 8378 aa9a 0800 4500 .........x....E. 0x0010: 0240 0014 0000 8011 76e8 c0a8 0109 ffff .@......v....... 0x0020: ffff 0044 0043 022c 151d 0101 0600 5272 ...D.C.,......Rr 0x0030: 3358 0000 0000 c0a8 0109 0000 0000 0000 3X.............. 0x0040: 0000 0000 .... noch ne idee? Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 16. September 2005 Melden Teilen Geschrieben 16. September 2005 Hi, ist das wirklich ein DHCP Request? Der kommt nämlich erst nach einem Discover und einem Offer Paket. Was ist das für ein Paket (Welches Sniffing Tool?). Könnte nämlich auch das Update des DNS Servers sein. (Automatischer Eintrag der Adresse). Zitieren Link zu diesem Kommentar
NightTw_ix 10 Geschrieben 16. September 2005 Autor Melden Teilen Geschrieben 16. September 2005 Hi, ist das wirklich ein DHCP Request? Der kommt nämlich erst nach einem Discover und einem Offer Paket. Was ist das für ein Paket (Welches Sniffing Tool?). Könnte nämlich auch das Update des DNS Servers sein. (Automatischer Eintrag der Adresse). Ich bin mir nicht sicher ob es ein wirklicher DHCP request ist. Läuft DNS nicht über Port 53? Tools die ich nutze sind 'dhcping' und 'tcpdump' ich bin mal so frei und poste vollständige Captures: zuerst von tcpdump (Befehl war: tcpdump -s 0 -n -e -vvv -XX dst port 67) 15:13:49.044337 00:10:83:78:aa:9a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 590: IP (tos 0x0, ttl 128, id 23, offset 0, flags [none], length: 576) 192.168.1.9.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:10:83:78:aa:9a, length: 548, xid:0x8a4052d7, flags: [none] (0x0000) Client IP: 192.168.1.9 Client Ethernet Address: 00:10:83:78:aa:9a Vendor-rfc1048: DHCP:INFORM PR:SLP-DA+SLP-SCOPE CID:[ether]00:10:83:78:aa:9a 0x0000: ffff ffff ffff 0010 8378 aa9a 0800 4500 .........x....E. 0x0010: 0240 0017 0000 8011 76e5 c0a8 0109 ffff .@......v....... 0x0020: ffff 0044 0043 022c bdcf 0101 0600 8a40 ...D.C.,.......@ 0x0030: 52d7 0000 0000 c0a8 0109 0000 0000 0000 R............... 0x0040: 0000 0000 0000 0010 8378 aa9a 0000 0000 .........x...... 0x0050: 0000 0000 0000 0000 0000 0000 0000 0000 ................ (dazwischen nur Nullen) 0x0100: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0110: 0000 0000 0000 6382 5363 3501 0837 024e ......c.Sc5..7.N 0x0120: 4f00 3d07 0100 1083 78aa 9aff 0000 0000 O.=.....x....... 0x0130: 0000 0000 0000 0000 0000 0000 0000 0000 ................ (dazwischen nur Nullen) 0x0240: 0000 0000 0000 0000 0000 0000 0000 .............. Dass wirft dhcpng aus (dhcping -listen) >> DHCP request >> from 192.168.1.9:68 (00:10:83:78:aa:9a) to 255.255.255.255:67 (ff:ff:ff:ff:ff:ff) >> op : BOOT REQUEST (1) >> htype : Ethernet (10Mb) (1) >> hlen : 6 >> hops : 0 >> xid : 0x8a4052d7 >> secs : 0 >> flags : UNICAST (0x0000) >> ciaddr : 192.168.1.9 >> yiaddr : 0.0.0.0 >> siaddr : 0.0.0.0 >> giaddr : 0.0.0.0 >> chaddr : 00:10:83:78:aa:9a >> sname : >> file : >> cookie : 0x63825363 (RFC 1497/2132, BOOTP Vendor informations/DHCP options) >> DHCP option (053 [0x35]) : MESSAGE_TYPE : INFORM >> DHCP option (055 [0x37]) : PARAMETERS : Unknown (78 [0x4e]) Unknown (79 [0x4f]) >> DHCP option (061 [0x3d]) : CLIENT_ID : 0x0100108378aa9a Also es ist dann wohl doch kein "request" sondern ein "inform" Schlauer bin ich jetzt trotzdem nicht. Sinn und Ursache interessieren mich schon Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 16. September 2005 Melden Teilen Geschrieben 16. September 2005 Also: Bei WIn2k und XP ist die Option: Adressen dieser Verbindung standardmässig in DNS registrieren. Das erledigt der DHCP Client mit einer inform Nachricht! Wenn du an einem der Clients testweise den DHCP-Client Dienst deaktivierst, solltest du von ihm auch keine Pakete mehr sehen. Bist du sicher, dass das auch für die NT4 Clients zutrifft? Die können das nämlich nicht. Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 16. September 2005 Melden Teilen Geschrieben 16. September 2005 Hallo NightTw_ix, dein Netware Client holt sich Informationen über einen Directory Agent + Scope über DHCP. PR:SLP-DA+SLP-SCOPE Du kannst den DA + Scope fest im Client vorgeben und "Use DHCP for SLP" deaktivieren. thorgood Zitieren Link zu diesem Kommentar
NightTw_ix 10 Geschrieben 16. September 2005 Autor Melden Teilen Geschrieben 16. September 2005 danke weg5st0! dass ist auf jeden Fall eine Antwort mit der ich etwas anfangen kann. Ich hab ein simples Script geschrieben, dass die IPs sammelt die den DHCP Traffic erzeugen. DA war auf jeden Fall eine NT-Ksite dabei. Ob das jetzt die gleiche Ursache hat wie die 2k/xp Kisten kann ich jetzt nicht nachprüfen. Die steht weit weg und hat keine Fernwartungsmöglichkeiten ;) Hast du grad ein Link parat wo ich was über diese DNS-über-DHCP geschichte nachlesen kann? Ok, ich weiss relativ wenig über DNS, aber dass gerade ein DHCP Packet genutzt wird für die registrierung... kommt mir komisch vor. Ich werd mal schauen was unsere DNS Server dazu sagen oder ob die Clients überhaupt eine Antwort bekommen Zitieren Link zu diesem Kommentar
NightTw_ix 10 Geschrieben 16. September 2005 Autor Melden Teilen Geschrieben 16. September 2005 Hallo NightTw_ix, dein Netware Client holt sich Informationen über einen Directory Agent + Scope über DHCP. PR:SLP-DA+SLP-SCOPE Du kannst den DA + Scope fest im Client vorgeben und "Use DHCP for SLP" deaktivieren. thorgood ahhhhhh. Dass hört sich wirklich nachvollziehbar an. Und ich war schon drauf und dran Microsoft niederzumachen. ;) Scheint auf jeden Fall völlig legitim die Geschichte. Ich seh das jetzt mal als gelöst und meine Freitags-Langeweile als bekämpft an! :D Dank an alle und schönes Wochenende :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.